Reference Guide
● уровень накопителя.
Состояние шифрования на уровне кластера отражает лишь то, включено ли шифрование для устройства. Оно никак не
связано с состоянием накопителя.
Состояние шифрования устройства может иметь одно из следующих значений:
● Encrypted — возможность шифрования на устройстве включена.
● Unencrypted — возможность шифрования не поддерживается устройством.
● Encrypting — отображается в процессе активации шифрования. После успешного завершения процесса шифрования
состояние шифрования на уровне кластера отображается как «encrypted».
Состояние шифрования на уровне накопителя предоставляется каждому накопителю устройства и может иметь одно из
следующих значений:
● Encrypted — накопитель зашифрован. Это обычное состояние накопителя на устройстве, которое поддерживает
шифрование.
● Encrypting — устройство включает возможность шифрования на накопителе. Это состояние может отображаться во
время начальной активации шифрования на устройстве или при добавлении новых накопителей на настроенное
устройство.
● Disabled — нельзя включить шифрование для накопителя из-за ограничений на импорт, действующих в определенной
стране. Если какой-либо из накопителей находится в этом состоянии, все накопители в кластере также будут
отображаться в этом состоянии.
● Unknown — устройство еще не попыталось включить шифрование на накопителе. Это состояние может отображаться
во время начальной активации шифрования на устройстве или при добавлении новых накопителей на настроенное
устройство.
● Unsupported — накопитель не поддерживает шифрование.
● Foreign — накопитель поддерживается, но заблокирован другим устройством. Для использования на этом устройстве
накопитель необходимо списать.
Управление ключами
Сервис встроенного диспетчера ключей (KMS) запускается на активном узле каждого устройства PowerStore. Этот сервис
управляет защищенным хранилищем файла локального хранилища ключей для обеспечения автоматического резервного
копирования ключей шифрования на системные и загрузочные накопители. Он также осуществляет управление процессом
блокировки и разблокировки самошифруемого диска (SED) и отвечает за управление локальным хранилищем ключей на
устройстве. Файл локального хранилища ключей шифруется с применением 256-разрядного ключа AES, а для
защищенного хранилища файла хранилища ключей используется технология BSAFE от RSA.
KMS автоматически создает случайный ключ аутентификации для диска SED во время инициализации устройства. У всех
дисков (включая добавленные на устройство позже) есть уникальный ключ аутентификации, который используется в
процессах блокировки и разблокировки дисков SED. Ключ шифрования ключей применяется для шифрования ключей
аутентификации и шифрования в хранилище файла хранилища ключей и в устройстве в процессе его эксплуатации. Ключи
шифрования носителей хранятся на выделенных дисках SED, и доступ к ним невозможен. Когда шифрование включено,
все ключи аутентификации хранятся на устройстве.
Файл резервной копии хранилища ключей
KMS поддерживает создание и скачивание резервной копии архивного файла хранилища ключей на устройстве в
автономном режиме. Резервное копирование устройства в автономном режиме уменьшает шансы потери ключа в
результате аварии, из-за чего использование устройства или кластера может стать невозможным. Если в момент
инициации резервного копирования хранилища ключей кластера какое-либо устройство недоступно, операция будет
выполнена, однако при этом отобразится предупреждение, что в резервной копии содержатся файлы хранилища ключей
не для всех устройств в кластере и операцию необходимо выполнить повторно, когда устройство в автономном режиме
снова будет доступно.
ПРИМЕЧАНИЕ: Главное устройство в кластере содержит архивный файл хранилища ключей кластера, который
включает резервные копии хранилищ ключей из каждого устройства, обнаруженного в кластере, включая главное
устройство.
При изменении конфигурации системы в кластере изменения вносятся и в хранилище ключей, поэтому в этом случае
рекомендуется создать новый архивный файл хранилища ключей для скачивания. Одновременно можно запустить только
одну операцию скачивания резервной копии архивного файла хранилища ключей.
42 Параметры безопасности данных